ShinyHunters slår till mot Oracle PeopleSoft – massiv datastöld från universitet

Tekniken de använde kallas en "gadget chain" – en sofistikerad kedja där äldre, redan kända svagheter kombineras med helt nya nolldagars-exploater (sårbarheter som är okända för tillverkaren) specifikt för PeopleSoft . I sin kommunikation med nyhetssajten BleepingComputer uppgav gruppen att attacken inte fungerar likadant överallt, utan att framgången beror på hur varje enskilt offer har konfigurerat sin PeopleSoft-miljö .

ShinyHunters tillämpar en "betala-eller-läck"-modell. Det innebär att om offret vägrar betala den begärda lösensumman publiceras den stulna datan på gruppens läcksajt, vilket utsätter drabbade individer för risk för identitetsstöld och integritetsintrång .

Utbildningssektorn var den primära måltavlan

Universitet och högskolor fick bära den tyngsta bördan av angreppet. ShinyHunters fokuserade intensivt på högre utbildning, ett mönster som etablerades tidigare under deras kampanjer under 2026 mot lärplattformen Canvas och mot Salesforce Experience Cloud .

University of Nottingham bekräftade att de utsatts för ett dataintrång. Angriparna infiltrerade universitetets studenthanteringssystem Campus Solutions, som drivs av Oracle PeopleSoft, i slutet av maj 2026 . Ett urval av den stulna datan som ShinyHunters publicerade inkluderade uppgifter om studenter, sökande, studiemedel, immigration, hälsa och administration . Gruppen uppgav att de stulit över 40 GB känslig information, inklusive faktureringsunderlag, kreditkortsuppgifter, data från studentfinansiering och export från universitetets campusportaler – vilket omfattar verksamheten vid deras campus i Storbritannien, Malaysia och Kina .

En förändrad strategi: Från röstfiske till nolldagars-exploater

Kampanjen mot PeopleSoft markerar en betydande taktisk förändring för ShinyHunters. Under större delen av 2025 och början av 2026 förlitade sig gruppen nästan uteslutande på identitets- och åtkomstmissbruk. Detta innebar sofistikerat röstfiske (vishing), social manipulation, kapning av inloggningssystem som Okta och missbruk av OAuth-tokens för att ta sig in i organisationer .

Rapporter från säkerhetsföretagen Mandiant och Google Threat Intelligence Group visade hur ShinyHunters utgav sig för att vara från IT-supporten, dirigerade anställda till falska inloggningssidor som såg ut som företagets egna och på så sätt stal både lösenord och engångskoder för multifaktorautentisering (MFA) .

En underrättelserapport från The Crosswalk konstaterade rakt ut att ShinyHunters "nästan aldrig exploaterar mjukvarusårbarheter" utan istället fokuserar på att lura supportpersonal och stjäla anställdas MFA-uppgifter . PeopleSoft-attackerna bryter helt mot den bilden. Här användes genuina mjukvaruexploater – inklusive nolldagars-sårbarheter – något som tidigare inte observerats i deras operationer .

Oracle och brittiska myndigheter: Begränsad officiell respons

Fram till den 10 juni 2026 hade Oracle inte gått ut med något offentligt uttalande eller någon säkerhetsvarning specifikt riktad mot denna PeopleSoft-kampanj. Inga patchar kopplade till denna aktivitet har heller annonserats eller bekräftats .

Brittiska myndigheter, inklusive Integritetsskyddsmyndigheten (ICO) och polis, har ännu inte gjort några specifika offentliga uttalanden om händelsen. University of Nottingham skötte krishanteringen internt, informerade studenterna direkt och tog tillfälligt de drabbade systemen offline för utredning .

Indikatorer på intrång: Vad vi vet hittills

Säkerhetscommunityt har ännu inte publicerat PeopleSoft-specifika indikatorer på intrång (IoC), såsom IP-adresser eller fil-hashar, knutna till denna specifika kampanj. Företaget Huntress publicerade en bredare profil över hotaktören ShinyHunters med nätverksindikatorer, men dessa är kopplade till deras tidigare kampanjer mot SaaS-plattformar, inte specifikt till PeopleSoft-exploateringen .

Rapporten från The Crosswalk noterar att ShinyHunters typiska metod – identitetsmissbruk – sällan producerar IoC:er som är specifika för en viss mjukvarusårbarhet, vilket gör det svårare för försvarare att jaga denna typ av aktivitet .

ShinyHunters eskalering under 2026: Ett mönster av massutpressning

PeopleSoft-kampanjen är en del av en brutalt upptrappad aktivitet under året:

• Tidigt 2026: AuraInspector-kampanjen utnyttjade felaktigt konfigurerade Salesforce Experience Cloud-instanser. ShinyHunters hävdade att nästan 400 organisationer drabbades .
• Februari 2026: Intrånget mot Wynn Resorts blottade över 800 000 anställdas uppgifter. Även här gick det initiala tillträdet via en Oracle PeopleSoft-sårbarhet .
• April–maj 2026: Intrånget i lärplattformen Canvas – det största dataintrånget mot utbildningssektorn någonsin – där ShinyHunters hävdade att de stulit 275 miljoner registerposter från cirka 8 000–9 000 institutioner .
• Maj–juni 2026: Intrånget mot Charter Communications exponerade 4,9 miljoner kunduppgifter .
• Juni 2026: Oracle PeopleSoft-kampanjen adderade ytterligare 100+ organisationer och 300+ instanser till raden av offer .

Verizons årliga rapport "2026 Data Breach Investigations Report" bekräftade en strukturell förändring: för första gången på 19 år gick utnyttjande av sårbarheter om stulna inloggningsuppgifter som den vanligaste metoden vid dataintrång . ShinyHunters byte till att använda äkta exploateringskedjor, snarare än identitetsmissbruk, ligger helt i linje med denna bredare trend och signalerar att massiva, parallella kampanjer mot allmänt spridda företagsplattformar sannolikt kommer att fortsätta.

För universitet och högskolor är lärdomen skarp. Samma konsoliderade mjukvaruleverantörskedjor som gjorde plattformar som Canvas och PeopleSoft oumbärliga för digitalt lärande och administration, har även gjort dem till katastrofala svagheter när angripare hittar en enda opatchad svaghet .